InfoSecMan Blog

El Foro Europeo para la Investigación e Innovación  en Seguridad (ESRIF) se creó en septiembre de 2007, basado en una iniciativa conjunta de la Comisión Europea y los 27 Estados Miembros. Su plenaria de 65 miembros de 32 países incluye presentantes de la industria, usuarios finales públicos y privados, centros de investigación y universidades, además de organizaciones no gubernamentales e instituciones europeas. ESRIF fue apoyado y soportado por más de 600 expertos convirtiéndola en la única iniciativa de alto nivel y a gran escala de este tipo en Europa.

El documento resultado del foro propone una Agenda Europa de Investigación e Innovación en Seguridad (ESRIA, European Security Research and Innovation Agenda) para los próximos 20 años y propone recomendaciones que soportarán el desarrollo de la seguridad Europea.

La visión de ESRIF para la Seguridad de la Sociedad es que la seguridad Europea es inseparable de los valores políticos, culturales y sociales que distingue la vida europea y su diversidad. La investigación e innovación en seguridad debe tener en cuenta la vulnerabilidad a largo plazo de estos valores a través de la economía, política, cultura y sistemas tecnológicos europeos.

La seguridad de las infraestructuras críticas europeas, y por tanto de los sistemas que las sustentan (en su gran mayoría industriales), es naturalmente un foco de la investigación e innovación en seguridad. Puesto que determinadas infraestructuras proporcionan servicios esenciales para la sociedad y la economía (con algunos de ellos directamente interactuando con los ciudadanos, como por ejemplo el suministro de agua o de telecomunicaciones), su criticidad es obvia. Otras infraestructuras críticas son menos visibles, pero también esenciales para el funcionamiento de los elementos de la sociedad como el control de navegación aérea (como tuvimos oportunidad de comprobar en fechas recientes en España).

Muchas de las funciones de estas infraestructuras críticas están tecnológica y operacionalmente interconectadas y por tanto deben conocerse y gestionarse adecuadamente las posibilidades exactas y los riesgos potenciales existentes. Así, como un tema general de investigación para la seguridad de las infraestructuras críticas,  deberían estudiarse y analizarse detenidamente estas interconexiones e interdependencias.

Todo esto debería mejorar el conocimiento y concienciación del impacto y efectos en cadena para lo que las organizaciones y países deben estar preparados. Sobre esta base, deberán desarrollarse contramedidas proactivas, resistentes y efectivas que tengan en cuenta los riesgos y vulnerabilidades sistémicas predecibles. Si esto se combina con simulaciones avanzadas y herramientas de modelado (ambas para operaciones, impactos y malos funcionamientos de sistemas aislados o interconectados), entonces los usuarios finales y expertos en la gestión de crisis podrán contar con instrumentos potentes para la prevención y preparación de este tipo de incidentes. Esto debería llevar a una mayor seguridad y resistencia sistémica y social en general.

Un futuro grupo de concienciación debería analizar la futura potencial criticidad de las tecnologías emergentes y en constante evolución. Esto permitirá a los usuarios finales, investigadores y fabricantes definir conjuntamente protocolos y arquitecturas de seguridad al principio del proceso de diseño, que está en la línea de uno de los mensajes clave de ESRIF. Debe expandirse también la definición de infraestructuras críticas y analizar el paisaje industrial de Europa en búsqueda de capacidades de fabricación y capacidades críticas que deben ser tenidas en cuenta también en este contexto.

La Unión Europea se encuentra hoy con retos de seguridad totalmente diferentes de aquellos existentes en su incepción. Éstos varían desde el lavado de dinero y la corrupción al crimen organizado y los actos violentos de terrorismo, además de desastres naturales o pandemias. ESRIF es consciente de que la ESRIA, la agenda, debe proporcionar tanto un concepto estratégico como un proceso práctico que defina y actualice las prioridades compartidas para conseguir superar esos retos.  No obstante esto no puede llevarse a cabo de forma aislada. La protección de la población e infraestructuras de la Unión Europea debe ir acompañado de buen gobierno, sentido común económico y el respeto por los derechos fundamentales y los valores culturales de Europa. Para ESRIF, conseguir una ventaja competitiva y una posición de liderazgo para Europa en el mercado global de la seguridad debe reflejar los valores Europeos.

Algunas acciones ya se han llevado a cabo en Europa en esta línea. Como ya comentábamos en el último post, además de crear el Programa Europeo para la Protección de Infraestructuras Críticas (EPCIP) y la Red de Información y Alertas de Infraestructuras Críticas (CIWIN), la directiva europea 2008/114/EC que entró en vigor el 8 de Diciembre de 2008 sobre la identificación y designación de las Infraestructuras Críticas Europeas y la identificación de la necesidad de mejorar su protección, representa un paso importante en la cooperación de la Unión Europea sobre este tema. Esta Directiva establece que la responsabilidad principal y última para la protección de las infraestructuras críticas europeas reposa en los Estados Miembros y en los operadores (las organizaciones dueñas) de esas infraestructuras. También determina el desarrollo de un conjunto de obligaciones y acciones que deberían ser implementados por esos Estados e incorporadas a su legislación nacional.

Consecuentemente en cumplimiento de esta Directiva 2008/144/EC, los distintos Estados Miembro deberían desarrollar normas cuyos objetivos no sean únicamente regular la protección de las infraestructuras críticas contra todo tipo de ataques deliberados (físicos o cibernéticos), utilizando la definición y desarrollo de un sistema y procedimientos que unan todos los sectores públicos y privados afectados, sino que también deberán transponer la Directiva a los sistemas legales nacionales desarrollando todas las medidas incluidas en la Directiva. El propósito de estas normas  es establecer medidas para proteger las infraestructuras críticas estableciendo la base apropiada para una coordinación efectiva entre las administraciones públicas y las entidades, gestores y propietarios de infraestructuras que proporcionan servicios públicos esenciales para sociedad civil, en búsqueda de la mejora de su seguridad.

Un compendio de la Directiva 2008/114/EC es representada por la comunicación COM(2009)149 de la Comisión al Parlamento Europeo, al Consejo, al Comité Social y Económico Europeo y al Comité de las Regiones sobre la protección de Infraestructuras Críticas, denominada “Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience”.

Los Catálogos Nacionales de Infraestructuras Estratégicas (cada sector y cada Estado Miembro debería identificar sus infraestructuras críticas) y los Planes de Protección de Infraestructuras Nacionales deberán ser mantenidos sobre esta base, como la herramienta principal para la gestión de la seguridad de las infraestructuras a nivel nacional.

Se están llevando a cabo diversas acciones en este sentido a nivel nacional. Por ejemplo en España esta directiva ha sido transpuesta mediante la Ley 8/2011 por la que se establecen Medidas para la Protección de Infraestructuras Críticas (conocida ya como LPIC o Ley para la Protección de Infraestructuras Críticas) y posterior Reglamento de Protección de Infraestructuras Críticas (Real Decreto 704/2011) y aún más reciente (18 de Julio de 2011) acaban de publicarse para información pública y revisión, los borradores de las Guías de Contenidos Mínimos del Plan de Protección Específico (PPE) y del Plan de Seguridad del Operador (PSO).

Esta marco normativo establece el escenario de trabajo necesario para desarrollar las estrategias y estructuras apropiadas que permitirán la gestión y coordinación de todas las acciones de las distintas instituciones y organizaciones (públicas y privadas),  en lo que se refiere a la protección de las infraestructuras críticas incluyendo distintos sectores: administración espacio, industrial nuclear, industria química, instalaciones de investigación, agua, energía, salud, tecnologías de la información y las comunicaciones, transporte, alimentación y sistema financiero y tributario.

Adicionalmente a la regulación nacional de protección de infraestructuras críticas, debería considerarse en todos los sectores anteriores la regulación de la seguridad por cada uno ellos. Por ejemplo en España, el Real Decreto 3/2010 del 8 de Enero, que regula el Esquema Nacional de Seguridad en el ámbito de las Administraciones Públicas y concretamente orientado a la Administración Electrónica es un buen punto de partida, pero es obvio que deja fuera otros sectores muy relevantes para la gestión de la seguridad, tanto públicos como privados.

En la próxima entrega abordaré el enlace de las Infraestructuras Críticas y los Sistemas de Control Industrial… pero eso será, con suerte, la semana próxima 🙂 Buen fin de semana!

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog